浅谈TLS 混合密钥交换：后量子迁移过渡方案

    在量子计算技术快速发展的背景下，传统加密算法面临被破解的风险，网络通信安全正经受前所未有的挑战。IETF 发布的混合密钥交换草案为 TLS 1.3 协议提供了一种过渡性安全增强方案，通过融合传统加密与后量子加密技术，在保障当前通信安全的同时，为未来量子威胁做好准备。

混合密钥交换的核心动机

混合密钥交换机制的提出源于网络安全的现实需求与未来挑战的双重驱动。对于渴望获得后量子安全性的早期采用者而言，这种机制能够在引入新兴后量子算法的同时，保留传统加密算法提供的现有安全水平。许多后量子算法相对较新，尚未像 RSA 或椭圆曲线 Diffie-Hellman 算法那样经过深度研究和长期验证，安全社区对其基础安全性和具体参数化的安全级别尚未建立充分信心。

监管约束是采用混合方案的另一重要因素。例如，为满足 密码合规性要求，部分用户必须保留传统加密算法，混合模式成为兼顾合规性与安全性的理想选择。 retroactive 解密威胁则是更为严峻的考量 —— 当量子计算机或其他密码分析突破导致加密假设失效时，被动记录的握手信息和加密通信可能被解密。混合密钥交换通过多层次加密，为抵御此类威胁提供了潜在安全保障，同时避免完全抛弃成熟的传统密码系统。

技术范围与核心目标

该方案明确聚焦于 TLS 1.3 中的混合临时密钥交换，有意将以下内容排除在范围之外：下一代算法的具体选择、算法标识符及编码机制，以及使用下一代算法的认证功能。这种聚焦使方案更具针对性，因为量子计算机虽可能 retroactive 解密过往会话，但无法 retroactive 破坏会话认证，认证机制的稳定性为混合方案提供了基础保障。

混合密钥交换的首要目标是建立共享密钥，只要其中一个组件密钥交换机制未被攻破，共享密钥就保持安全。这一 "至少一个安全" 的设计哲学，为加密体系构建了冗余安全屏障。在实现这一核心目标的基础上，方案还需满足多项次级目标：

• 向后兼容性：支持混合模式的客户端和服务器需与不支持混合模式的端点和中间盒兼容，在三种场景（混合客户端 - 混合服务器、混合客户端 - 传统服务器、传统客户端 - 混合服务器）下均能正常建立连接，且理想状态下无需额外往返通信或发送重复信息。

• 高性能：混合密钥交换不应带来过高的计算开销，尽管具体性能取决于所选用的加密算法特性。

• 低延迟：需避免显著增加连接建立延迟，这涉及算法计算性能、消息大小（后量子算法的公钥和密文大小从数百字节到超过 100KB 不等）以及协议额外往返次数等多个因素。

• 无额外往返：在任何兼容模式下，混合密钥交换协商都不应导致额外的通信往返。

• 最小重复信息：协商过程中避免发送同一类型的多个公钥，减少冗余数据传输。

密钥封装机制的技术基础

密钥协商建模为密钥封装机制（KEMs），这是一种包含三个核心算法的密码学结构：

• KeyGen()：概率性密钥生成算法，输出公钥（pk）和私钥（sk）

• Encaps(pk)：概率性封装算法，输入公钥生成密文（ct）和共享密钥（ss）

• Decaps(sk, ct)：解封装算法，输入私钥和密文恢复共享密钥，或返回错误值

KEM 的核心安全属性是自适应选择密文攻击下的不可区分性（IND-CCA2），确保即使攻击者能够解密任意密文，共享密钥仍与随机字符串不可区分，可抵御主动攻击，支持密钥长期使用或复用。实现密钥复用安全的常见设计模式是应用 Fujisaki-Okamoto（FO）变换或其变体。较弱的安全属性是选择明文攻击下的不可区分性（IND-CPA），仅能抵御被动攻击，通常对应一次性密钥交换。

在 TLS 1.3 中，Diffie-Hellman（DH）密钥交换可被建模为 KEM：KeyGen 对应选择指数 x 作为私钥并计算公钥 g^x；封装对应选择指数 y，计算密文 g^y 和共享密钥 g^(xy)；解封装则通过计算 g^(xy) 恢复共享密钥。尽管 DH 作为 KEM 不正式满足 IND-CCA2 安全性，但在 TLS 1.3 的临时密钥交换中仍被证明是安全的。

用于混合密钥交换的 KEM 必须明确设计为支持公钥复用安全。TLS 1.3 允许临时公钥在多个会话中复用（代价是有限的前向保密性），因此 KEM 需满足 IND-CCA2 安全性或应用类似 FO 的变换。虽然建议避免公钥复用，但如确需复用，必须遵守 KEM 规范或安全分析中的复用次数限制，且严禁在生成 KEM 密文时复用随机性。

安全价值与未来展望

混合密钥交换机制为 TLS 协议提供了一种务实的抗量子安全过渡方案，其核心价值在于构建了 "防御纵深"—— 通过算法冗余抵御单一加密体系失效的风险。对于金融、政务等对安全性要求严苛的领域，这种方案能够在不中断现有服务的前提下，逐步引入后量子加密能力，满足合规性与前瞻性安全需求。

随着后量子加密算法标准化进程的推进，混合密钥交换将作为重要过渡技术，帮助网络基础设施平稳演进。未来，随着算法研究的深入和硬件性能的提升，混合方案可能逐步向纯后量子方案过渡，但在当前阶段，它无疑是平衡安全性、兼容性和性能的最优选择，为数字时代的通信安全提供了关键保障。

密码开源生态

openHiTLS作为由西安电子科技大学、山东大学、上海交通大学、华为技术有限公司等13家国内产学研机构共同发起的密码开源社区，积极探索后量子等先进算法创新实践，目前已开源实现TLS1.3后量子混合密钥协商能力，可获取开源代码了解细节。

了解开源、关注开源、使用开源
openHiTLS旨在打造算法先进、性能卓越、高效敏捷、安全可靠的开源密码库，通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求，让密码技术应用更简单，同时探索后量子等先进算法创新实践，构建密码前沿技术底座！
 项目地址:https://gitcode.com/openHiTLS/openhitls